Esta técnica de inyección de código puede atacar potencialmente todas las versiones de Windows

¿Adivina qué? Si posees una PC con Windows, que está completamente parcheada, los atacantes aún pueden hackear su computadora.

¿No es esto preocupante? Bueno, quizá para muchos no.

Inyección de código malicioso

Los investigadores de seguridad han descubierto una nueva técnica que podría permitir a los atacantes inyectar código malicioso en cada versión del sistema operativo Windows de Microsoft, incluso Windows 10, de una manera que ninguna herramienta anti-malware existente puede detectar, amenazando a millones de PC en todo el mundo.

Apodado ” AtomBombing “, la técnica no aprovecha ninguna vulnerabilidad, pero abusa de una debilidad de diseño en Windows.

El nuevo ataque de inyección de código ayuda al Malware a evitar las medidas de seguridad

El ataque AtomBombing abusa de las Tablas Atom a nivel de sistema, una característica de Windows que permite que las aplicaciones almacenen información sobre cadenas, objetos y otros tipos de datos para acceder de forma regular.

Y dado que Atom son tablas compartidas, todo tipo de aplicaciones pueden acceder o modificar datos dentro de esas tablas.

Atom table

“Una atom table es una tabla definida por el sistema que almacena cadenas e identificadores correspondientes. Una aplicación coloca una cadena en una tabla y recibe un número entero de 16 bits, llamado átomo , que puede usarse para acceder a la cadena. Una cadena que se ha colocado en una tabla se llama nombre de átomo .

El sistema proporciona varias tablas de átomos. Cada tabla de átomos tiene un propósito diferente. Por ejemplo, las aplicaciones de intercambio dinámico de datos (DDE) utilizan la tabla de átomos global para compartir cadenas de nombre de elemento y nombre de tema con otras aplicaciones. En lugar de pasar cadenas reales, una aplicación DDE pasa átomos globales a su aplicación asociada. El compañero usa los átomos para obtener las cadenas de la tabla de átomos.”

AddAtom. GlobalAddAtom. Modo de usuario. InternalAddAtom. NTDLL. RtlAddAtomToAtomTable. KERNEL32. Subsistema de usuario. WIN32K. NTOSKRNL. Modo Kernel. NtAddAtom. UserGlobalAtomTableCallout. RtlAddAtomToAtomTable. UserAddAtom.

Un equipo de investigadores de la compañía de seguridad cibernética EnSilo , que ideó la técnica AtomBombing, dice que esta falla de diseño en Windows puede permitir que el código malicioso modifique las tablas de átomos y engañe a las aplicaciones legítimas para que ejecuten acciones maliciosas en su nombre.

Una vez inyectado en procesos legítimos, el malware facilita a los atacantes eludir los mecanismos de seguridad que protegen dichos sistemas de infecciones de malware.

AtomBombing puede realizar ataques de navegador MITM, descifrar contraseñas y más.

Además de evitar las restricciones de nivel de proceso, la técnica de inyección de código AtomBombing también permite a los atacantes realizar ataques de navegador man-in-the-middle (MITM), Aqui puedes consultar el código, tomar capturas de pantalla de forma remota de escritorios de usuarios específicos y acceder a contraseñas cifradas almacenadas en un navegador.

Google Chrome cifra sus contraseñas guardadas utilizando la API de protección de datos de Windows (DPAPI), que utiliza datos derivados del usuario actual para cifrar o descifrar los datos y acceder a las contraseñas.

Por lo tanto, si se inyecta malware en un proceso que ya se está ejecutando en el contexto del usuario actual, es fácil acceder a esas contraseñas en texto sin formato.

Además, al inyectar código en un navegador web, los atacantes pueden modificar el contenido que se muestra al usuario.

“Por ejemplo, en un proceso de transacción bancaria, al cliente siempre se le mostrará la información de pago exacta que el cliente pretendía a través de pantallas de confirmación”, dijo Tal Liberman, líder del equipo de investigación de seguridad de enSilo.

“Sin embargo, el atacante modifica los datos para que el banco reciba información de transacciones falsas a favor del atacante, es decir, un número de cuenta de destino diferente y posiblemente la cantidad”.

No hay parche para AtomBombing Attack

La compañía dijo que todas las versiones del sistema operativo Windows, incluido el nuevo Windows 10 de Microsoft, se vieron afectadas. ¿Y qué es aún peor? No hay solución en este momento.

“Desafortunadamente, este problema no puede ser parcheado ya que no se basa en código roto o defectuoso, sino en cómo están diseñados estos mecanismos del sistema operativo”, dijo Liberman.

Dado que la técnica AtomBombing explota las funciones legítimas del sistema operativo para llevar a cabo el ataque, Microsoft no puede solucionar el problema sin cambiar cómo funciona todo el sistema operativo. Esta no es una solución factible, por lo que no existe la noción de un parche.

Canal en Telegram de Azul Web

Te recomendamos seguirnos en nuestras redes para estar al tanto de noticias, cursos gratuitos y memes: Clic aquí para seguirnos en Facebook | Clic aquí para seguirnos en Instagram | Clic aquí para seguirnos en YouTube.

Descargar este artículo en PDF

Lo sentimos, esta opción solo está disponible para los socios. Más información de nuestro grupo de socios.

Ernesto Mota on EmailErnesto Mota on FacebookErnesto Mota on LinkedinErnesto Mota on Twitter
Ernesto Mota
Nací en el d.f., sigo siendo defeño, hoy radico en la hermosa ciudad de Cuernavaca, Morelos, soy Ing. en Sistemas computacionales, con un posgrado en Tecnologías de información, Doctorando en ambientes virtuales de aprendizaje y realidad aumentada, Tecnólogo es mi categoría laboral, y mi linea de investigación es la realidad aumentada aplicada a nuevos entornos de aprendizaje.

Déjanos un comentario:

Deja un comentario

LO MAS HOT DE AZUL WEB

Todo lo que necesitas para aprender a programar está aquí.